FiveM DDoS Schutz — So sicherst du deinen Server

FiveM DDoS Schutz — Der komplette Sicherheitsguide fuer deinen Server

DDoS-Attacken gehoeren zu den groessten Bedrohungen fuer FiveM-Serverbetreiber. Ein einziger Angriff kann deinen Server fuer Stunden oder sogar Tage lahmlegen, Spieler vergraulen und deinem Ruf nachhaltig schaden. Besonders aergerlich: DDoS-Attacken richten sich haeufig gegen erfolgreiche Server mit vielen Spielern, oft ausgeloest durch Konflikte zwischen Communitys, verargerte ehemalige Spieler oder einfach durch Trolls, die Chaos stiften wollen.

Die gute Nachricht: Du bist diesen Angriffen nicht schutzlos ausgeliefert. Mit der richtigen Kombination aus Hosting, Konfiguration und Sicherheitsmassnahmen kannst du deinen FiveM-Server effektiv gegen DDoS-Attacken schuetzen. In diesem ausfuehrlichen Guide erklaeren wir dir alles, was du ueber DDoS-Schutz fuer FiveM-Server wissen musst.

Was ist eine DDoS-Attacke?

DDoS steht fuer Distributed Denial of Service. Bei einer DDoS-Attacke wird dein Server mit so vielen Anfragen ueberflutet, dass er legitime Verbindungen nicht mehr verarbeiten kann. Das Ergebnis: Spieler koennen sich nicht verbinden, bereits verbundene Spieler erleben extreme Lags oder werden getrennt, und im schlimmsten Fall stuerzt der Server komplett ab.

Arten von DDoS-Attacken

Es gibt verschiedene Arten von DDoS-Attacken, die FiveM-Server betreffen koennen:

Volumetrische Angriffe: Der Angreifer ueberflutet deine Internetleitung mit riesigen Datenmengen (oft mehrere Gigabit pro Sekunde). Selbst wenn dein Server die Pakete verarbeiten koennte, ist die Bandbreite erschoepft. Typische Methoden sind UDP-Floods, DNS-Amplification und NTP-Amplification.

Protokoll-Angriffe: Diese zielen auf Schwaechen in Netzwerkprotokollen ab. SYN-Floods zum Beispiel ueberschwemmen den Server mit halboffenen TCP-Verbindungen und erschoepfen die Verbindungstabellen. Auch ICMP-Floods und Smurf-Attacken fallen in diese Kategorie.

Anwendungsschicht-Angriffe (Layer 7): Die sophistizierteste Form. Diese Angriffe imitieren legitime Spieler-Verbindungen und sind daher schwerer zu erkennen. Sie zielen direkt auf den FiveM-Prozess ab und versuchen, ihn durch scheinbar normale, aber massenhaft gesendete Anfragen zu ueberlasten.

Warum sind FiveM-Server besonders anfaellig?

FiveM-Server nutzen in der Regel feste IP-Adressen und Ports (standardmaessig 30120 UDP/TCP), die oeffentlich zugaenglich sein muessen, damit Spieler sich verbinden koennen. Anders als Webserver, die hinter CDNs und Reverse Proxies versteckt werden koennen, muss die IP-Adresse eines FiveM-Servers fuer Spieler erreichbar sein. Dies macht sie zu einem relativ einfachen Ziel fuer Angreifer.

Hinzu kommt, dass die IP-Adresse deines Servers in der FiveM-Serverliste oeffentlich sichtbar ist. Jeder kann sie dort ablesen und als Angriffsziel verwenden.

Hosting mit integriertem DDoS-Schutz

Die effektivste Massnahme gegen DDoS-Attacken beginnt bei der Wahl des richtigen Hosting-Anbieters. Ein guter DDoS-Schutz auf Infrastruktur-Ebene kann Angriffe abfangen, bevor sie deinen Server ueberhaupt erreichen.

Worauf du bei der Hosting-Wahl achten solltest

DDoS-Schutzkapazitaet: Wie viel Traffic kann der Anbieter filtern? Gute Anbieter bieten Schutz vor Angriffen mit mehreren hundert Gigabit pro Sekunde. Anbieter, die nur "DDoS-Schutz" versprechen, ohne konkrete Zahlen zu nennen, sollten mit Vorsicht betrachtet werden.

Mitigationszeit: Wie schnell greift der Schutz nach Beginn eines Angriffs? Idealerweise geschieht die Mitigation automatisch und in Echtzeit, ohne dass du manuell eingreifen musst. Eine Mitigationszeit von unter 10 Sekunden ist gut, unter 3 Sekunden ist exzellent.

Filterqualitaet: Ein DDoS-Schutz, der auch legitimen Traffic blockiert, ist schlimmer als kein Schutz. Achte darauf, dass der Anbieter intelligente Filter einsetzt, die zwischen Angriffsverkehr und echten Spielerverbindungen unterscheiden koennen.

Gameserver-Spezialisierung: Anbieter, die sich auf Gameserver spezialisiert haben, kennen die spezifischen Anforderungen und Traffic-Muster von FiveM-Servern. Sie koennen ihre Filter entsprechend optimieren.

Standort: Fuer deutschsprachige Server empfiehlt sich ein Rechenzentrum in Deutschland oder den Niederlanden. Kurze Latenzzeiten sind fuer ein gutes Spielerlebnis wichtig, und europaeische Rechenzentren bieten in der Regel soliden DDoS-Schutz.

Empfohlene Hosting-Anbieter

Auf TopRP.de Hosting findest du eine kuratierte Auswahl von Hosting-Anbietern, die sich fuer FiveM-Server eignen. Wir bewerten dort unter anderem den DDoS-Schutz, die Netzwerkqualitaet und die Performance.

Generell empfehlen wir Anbieter mit eigener DDoS-Schutz-Infrastruktur gegenueber Anbietern, die den Schutz von Drittanbietern einkaufen. Erstere haben in der Regel mehr Kontrolle ueber die Filterregeln und koennen schneller auf neue Angriffsmethoden reagieren.

Dedizierter Server vs. VPS

Fuer den DDoS-Schutz macht es einen Unterschied, ob du einen dedizierten Server oder einen VPS (Virtual Private Server) nutzt:

• Dedizierter Server: Du hast eine eigene IP-Adresse und die volle Kontrolle ueber die Netzwerkkonfiguration. DDoS-Schutz ist oft standardmaessig enthalten oder als Upgrade verfuegbar.
• VPS: Du teilst die physische Hardware mit anderen Kunden. Ein DDoS-Angriff auf deinen VPS kann auch andere Kunden betreffen, weshalb manche Anbieter deinen VPS bei einem Angriff temporaer abschalten, anstatt ihn zu schuetzen.

Fuer Server mit mehr als 30 Spielern oder solche, die ein attraktives DDoS-Ziel sind, empfehlen wir einen dedizierten Server.

Netzwerk-Sicherheit mit iptables

iptables ist die Standard-Firewall unter Linux und ein maechtigtes Werkzeug fuer die Absicherung deines FiveM-Servers. Die folgenden Regeln bieten einen Grundschutz und koennen an deine Beduerfnisse angepasst werden.

Grundlegendes iptables-Regelwerk

#!/bin/bash
# FiveM Server iptables Firewall

# Bestehende Regeln loeschen
iptables -F
iptables -X

# Standard-Policies setzen
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# Loopback erlauben
iptables -A INPUT -i lo -j ACCEPT

# Bestehende Verbindungen erlauben
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# SSH erlauben (Port ggf. anpassen)
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# FiveM-Ports erlauben (Standard: 30120)
iptables -A INPUT -p tcp --dport 30120 -j ACCEPT
iptables -A INPUT -p udp --dport 30120 -j ACCEPT

# txAdmin-Port erlauben (Standard: 40120)
iptables -A INPUT -p tcp --dport 40120 -j ACCEPT

# MySQL nur lokal erlauben
iptables -A INPUT -p tcp --dport 3306 -s 127.0.0.1 -j ACCEPT
iptables -A INPUT -p tcp --dport 3306 -j DROP

# ICMP Rate-Limiting (Ping)
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 3 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

# Alles andere verwerfen und loggen
iptables -A INPUT -j LOG --log-prefix "IPTables-Dropped: "
iptables -A INPUT -j DROP

Erweiterte DDoS-Schutzregeln

Zusaetzlich zum Grundregelwerk kannst du spezifische Regeln gegen haeufige DDoS-Methoden hinzufuegen:

# SYN-Flood Schutz
iptables -A INPUT -p tcp --syn -m limit --limit 50/s --limit-burst 100 -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP

# UDP-Flood Schutz fuer Nicht-FiveM-Ports
iptables -A INPUT -p udp --dport 30120 -j ACCEPT
iptables -A INPUT -p udp -m limit --limit 100/s --limit-burst 200 -j ACCEPT
iptables -A INPUT -p udp -j DROP

# Ungueltige Pakete verwerfen
iptables -A INPUT -m state --state INVALID -j DROP

# Fragmentierte Pakete verwerfen
iptables -A INPUT -f -j DROP

# XMAS-Pakete verwerfen
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

# NULL-Pakete verwerfen
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

# Verbindungslimit pro IP (gegen Connection-Floods)
iptables -A INPUT -p tcp --dport 30120 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j DROP

iptables-Regeln persistent machen

Standardmaessig gehen iptables-Regeln bei einem Neustart verloren. Um sie persistent zu machen:

# iptables-persistent installieren
sudo apt install iptables-persistent

# Aktuelle Regeln speichern
sudo netfilter-persistent save

# Regeln beim Booten automatisch laden
sudo systemctl enable netfilter-persistent

nftables als moderne Alternative

nftables ist der Nachfolger von iptables und bietet eine sauberere Syntax und bessere Performance. Wenn du einen neuen Server aufsetzt, lohnt es sich, direkt mit nftables zu arbeiten:

#!/usr/sbin/nft -f

flush ruleset

table inet filter {
    chain input {
        type filter hook input priority 0; policy drop;

        # Loopback und bestehende Verbindungen
        iif lo accept
        ct state established,related accept
        ct state invalid drop

        # SSH
        tcp dport 22 accept

        # FiveM
        tcp dport 30120 accept
        udp dport 30120 accept

        # txAdmin
        tcp dport 40120 accept

        # Rate-Limiting fuer ICMP
        icmp type echo-request limit rate 1/second accept

        # SYN-Flood Schutz
        tcp flags syn limit rate 50/second accept

        # Logging
        log prefix "nft-dropped: " drop
    }

    chain forward {
        type filter hook forward priority 0; policy drop;
    }

    chain output {
        type filter hook output priority 0; policy accept;
    }
}

Cloudflare Spectrum fuer FiveM

Cloudflare ist bekannt fuer seinen Webseiten-Schutz, aber mit Cloudflare Spectrum kannst du auch Nicht-HTTP-Dienste wie FiveM-Server schuetzen. Spectrum leitet den Traffic ueber das Cloudflare-Netzwerk und filtert DDoS-Attacken, bevor sie deinen Server erreichen.

Wie Cloudflare Spectrum funktioniert

1. Du richtest eine Spectrum-Anwendung fuer deinen FiveM-Port ein.
2. Spieler verbinden sich ueber eine Cloudflare-IP-Adresse statt direkt mit deinem Server.
3. Cloudflare filtert den Traffic und leitet nur legitime Verbindungen an deinen Server weiter.
4. Deine echte Server-IP bleibt verborgen.

Einschraenkungen und Kosten

Cloudflare Spectrum ist nicht kostenlos. Der Pro-Plan beginnt bei 20 USD pro Monat und beinhaltet eine begrenzte Datenmenge. Fuer FiveM-Server mit vielen Spielern und Voice-Chat kann die Datenmenge schnell ansteigen, was zu zusaetzlichen Kosten fuehrt.

Ausserdem erhoet Cloudflare Spectrum die Latenz leicht (typischerweise 5-15ms), da der Traffic einen Umweg ueber das Cloudflare-Netzwerk nimmt. Fuer die meisten Spieler ist dies nicht spuerbar, aber bei sehr latenzsensitiven Szenarien kann es eine Rolle spielen.

Alternativen zu Cloudflare Spectrum

Wenn Cloudflare Spectrum zu teuer oder nicht verfuegbar ist, gibt es Alternativen:

• Path.net: Spezialisiert auf Gameserver-DDoS-Schutz mit niedrigen Latenzen.
• OVH Game DDoS Protection: OVH bietet spezielle Gameserver mit integriertem DDoS-Schutz, der fuer UDP-basierte Gameserver optimiert ist.
• Cosmic Guard: Ein auf FiveM spezialisierter DDoS-Schutz-Service.

FiveM-spezifische Sicherheitsmassnahmen

Neben dem allgemeinen DDoS-Schutz gibt es FiveM-spezifische Massnahmen, die die Sicherheit deines Servers erhoehen.

server.cfg absichern

# Endpoint-Privacy aktivieren (IP-Adressen der Spieler schuetzen)
sv_endpointPrivacy true

# Script-Hook verbieten
sv_scriptHookAllowed 0

# Kein Pure-Level fuer mehr Sicherheit
sv_pureLevel 2

# Server-Passwort (optional, fuer Whitelist-Server)
# sv_password "deinPasswort"

# Rate-Limiting fuer Verbindungen
sv_maxClients 128

Anti-Cheat und Exploit-Schutz

DDoS-Attacken sind nicht die einzige Bedrohung. Cheater und Exploiter koennen deinen Server von innen heraus destabilisieren:

• Server-seitige Validierung: Vertraue niemals dem Client. Validiere alle kritischen Aktionen (Gelduebertragungen, Inventar-Aenderungen, Teleportationen) auf dem Server.
• Event-Sicherheit: Schuetze Server-Events vor Manipulation. Nutze Tokens oder Checksummen, um sicherzustellen, dass Events von legitimen Clients stammen.
• Resource-Verschluesselung: Verschluessele sensible Server-Resources, um Reverse Engineering und Exploitation zu erschweren. Tools wie Cfx.re Escrow bieten hierfuer eine Loesung.

Schutz vor IP-Leaks

Wenn deine echte Server-IP bekannt wird, koennen Angreifer den DDoS-Schutz umgehen. So verhinderst du IP-Leaks:

• Verwende separate IPs: Die IP deines Webservers und die deines Gameservers sollten unterschiedlich sein. Wenn der Webserver gehackt wird, bleibt die Gameserver-IP verborgen.
• DNS-Eintraege pruefen: Stelle sicher, dass deine Domain keine DNS-Eintraege hat, die direkt auf die Gameserver-IP zeigen.
• Mitarbeiter schulen: Informiere dein Team, die Server-IP niemals in oeffentlichen Kanaelen zu teilen.
• E-Mail-Header: Wenn dein Server E-Mails versendet, koennen die Header die IP-Adresse preisgeben. Nutze einen externen E-Mail-Dienst.

Monitoring und Frueherkennung

Netzwerk-Monitoring einrichten

Fruehzeitige Erkennung eines DDoS-Angriffs ermoeglicht schnellere Reaktion. Richte Monitoring ein, das dich bei ungewoehnlichem Traffic alarmiert:

# vnStat fuer langfristige Traffic-Statistiken
sudo apt install vnstat
vnstat -l -i eth0  # Live-Monitoring

# iftop fuer Echtzeit-Traffic-Analyse
sudo apt install iftop
sudo iftop -i eth0

# nethogs fuer Process-basiertes Monitoring
sudo apt install nethogs
sudo nethogs eth0

Automatische Alarmierung

Richte automatische Benachrichtigungen ein, die dich bei verdaechtigem Traffic warnen:

#!/bin/bash
# Einfaches DDoS-Erkennungsscript
THRESHOLD=10000  # Pakete pro Sekunde
INTERFACE="eth0"

while true; do
    PACKETS=$(cat /sys/class/net/$INTERFACE/statistics/rx_packets)
    sleep 1
    PACKETS_NEW=$(cat /sys/class/net/$INTERFACE/statistics/rx_packets)
    PPS=$((PACKETS_NEW - PACKETS))

    if [ $PPS -gt $THRESHOLD ]; then
        echo "$(date): WARNUNG - $PPS Pakete/s auf $INTERFACE" >> /var/log/ddos-alert.log
        # Hier: Webhook an Discord senden oder E-Mail-Benachrichtigung
    fi
done

fail2ban fuer FiveM

fail2ban kann auch fuer FiveM-Server konfiguriert werden, um wiederholte fehlgeschlagene Verbindungsversuche automatisch zu blockieren:

# /etc/fail2ban/jail.local
[fivem]
enabled = true
port = 30120
protocol = tcp
filter = fivem
logpath = /pfad/zu/fivem/server.log
maxretry = 10
findtime = 60
bantime = 3600

Die zugehoerige Filter-Datei fuer fail2ban muss an das Log-Format deines Servers angepasst werden. Dies erfordert etwas Konfigurationsarbeit, bietet aber einen zusaetzlichen Schutzlayer.

Notfallplan: Was tun bei einem aktiven Angriff?

Trotz aller Vorsichtsmassnahmen kann es passieren, dass du Ziel eines DDoS-Angriffs wirst. Ein klarer Notfallplan hilft, die Ausfallzeit zu minimieren.

Sofortmassnahmen

1. Ruhe bewahren: Ein DDoS-Angriff ist aergerlich, aber kein Weltuntergang. Die meisten Angriffe dauern weniger als eine Stunde.

2. Hosting-Anbieter kontaktieren: Informiere deinen Hosting-Anbieter sofort ueber den Angriff. Viele Anbieter haben spezielle DDoS-Mitigation-Teams, die zusaetzliche Schutzmassnahmen aktivieren koennen.

3. Traffic analysieren: Versuche herauszufinden, welche Art von Angriff stattfindet und von welchen IP-Bereichen der Traffic kommt:

# Top-Verbindungen anzeigen
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -rn | head -20

# UDP-Traffic auf dem FiveM-Port analysieren
tcpdump -i eth0 -n 'udp port 30120' -c 1000 | awk '{print $3}' | sort | uniq -c | sort -rn | head -20

4. Temporaere Massnahmen: Wenn du die Angreifer-IPs identifizieren kannst, blockiere sie:

# Einzelne IP blockieren
iptables -A INPUT -s ANGREIFER_IP -j DROP

# Ganzes Subnetz blockieren
iptables -A INPUT -s ANGREIFER_IP/24 -j DROP

5. Community informieren: Informiere deine Spieler ueber Discord, dass ein DDoS-Angriff stattfindet und du an einer Loesung arbeitest. Transparenz schafft Verstaendnis.

Nach dem Angriff

1. Logs auswerten: Analysiere die Server-Logs, um den Angriff zu dokumentieren und Muster zu erkennen.
2. Schutz verbessern: Nutze die gewonnenen Erkenntnisse, um deinen Schutz zu verbessern. Passe Firewall-Regeln an und erwaege, auf einen Hosting-Anbieter mit besserem DDoS-Schutz zu wechseln.
3. Anzeige erstatten: DDoS-Attacken sind in Deutschland strafbar (Paragraph 303b StGB — Computersabotage). Erstatte Anzeige bei der Polizei, auch wenn die Erfolgsaussichten gering sind. Es ist wichtig, dass solche Angriffe dokumentiert werden.

Langfristige Sicherheitsstrategie

DDoS-Schutz ist keine einmalige Einrichtung, sondern ein fortlaufender Prozess. Hier sind die wichtigsten Elemente einer langfristigen Sicherheitsstrategie:

Regelmaessige Updates

Halte dein Betriebssystem, FiveM-Server-Artefakte und alle Resources auf dem neuesten Stand. Sicherheitsupdates schliessen bekannte Schwachstellen, die von Angreifern ausgenutzt werden koennten.

# System-Updates (Debian/Ubuntu)
sudo apt update && sudo apt upgrade -y

# FiveM-Artefakte aktualisieren
# Lade die neueste Version von runtime.fivem.net herunter

Backups

Regelmaessige Backups schuetzen dich nicht vor DDoS-Attacken, aber vor deren Folgen. Wenn ein Angriff zu Datenverlust fuehrt, kannst du schnell wiederherstellen:

# Taegliches Datenbank-Backup
mysqldump -u root -p fivem_database > /backup/fivem_$(date +%Y%m%d).sql

# Server-Dateien sichern
tar -czf /backup/server_$(date +%Y%m%d).tar.gz /pfad/zu/fivem/server/

Zugriffskontrolle

Beschraenke den Zugriff auf deinen Server auf das notwendige Minimum:

• Aendere den Standard-SSH-Port.
• Nutze SSH-Keys statt Passwoerter.
• Verwende Zwei-Faktor-Authentifizierung, wo moeglich.
• Beschraenke den SSH-Zugriff auf bestimmte IP-Adressen.
• Vergib nur die minimal notwendigen Berechtigungen an Teammitglieder.

FiveM Protect als zusaetzliche Option

FiveM bietet mit FiveM Protect einen eigenen Schutzdienst an, der speziell auf die Beduerfnisse von FiveM-Servern zugeschnitten ist. Pruefe diese Option als Ergaenzung zu deinen bestehenden Schutzmassnahmen.

Zusammenfassung: Die DDoS-Schutz-Checkliste

Zum Abschluss eine Checkliste, die du fuer deinen Server durchgehen solltest:

• Hosting-Anbieter mit integriertem DDoS-Schutz gewaehlt
• Firewall (iptables/nftables) korrekt konfiguriert
• Nur notwendige Ports geoeffnet
• Server-IP nicht oeffentlich bekannt gegeben
• Monitoring und Alarmierung eingerichtet
• Regelmaessige Backups automatisiert
• SSH abgesichert (Keys, Port geaendert, Zugriffsbeschraenkung)
• server.cfg gehaertet (sv_endpointPrivacy, sv_scriptHookAllowed)
• Notfallplan dokumentiert und dem Team bekannt
• System und FiveM-Artefakte aktuell gehalten

Den passenden Hosting-Anbieter mit DDoS-Schutz findest du auf unserer Hosting-Uebersicht. Stoebre auch durch unsere Serverliste, um zu sehen, wie andere Server ihre Sicherheit handhaben, und besuche unseren Script-Bereich fuer sicherheitsrelevante Resources und Tools.

Die Sicherheit deines Servers ist eine Investition in die Zukunft deiner Community. Nimm sie ernst, und deine Spieler werden es dir danken.